CN114844662B - 一种网络安全策略管理方法、装置及设备 - Google Patents
一种网络安全策略管理方法、装置及设备 Download PDFInfo
- Publication number
- CN114844662B CN114844662B CN202210192190.6A CN202210192190A CN114844662B CN 114844662 B CN114844662 B CN 114844662B CN 202210192190 A CN202210192190 A CN 202210192190A CN 114844662 B CN114844662 B CN 114844662B
- Authority
- CN
- China
- Prior art keywords
- terminal
- network
- index data
- network security
- determining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000007726 management method Methods 0.000 title claims abstract description 30
- 238000000034 method Methods 0.000 claims abstract description 44
- 238000013507 mapping Methods 0.000 claims abstract description 28
- 230000008569 process Effects 0.000 claims abstract description 18
- 230000002159 abnormal effect Effects 0.000 claims description 64
- 230000005540 biological transmission Effects 0.000 claims description 27
- 238000011084 recovery Methods 0.000 claims description 27
- 238000003860 storage Methods 0.000 claims description 23
- 238000004590 computer program Methods 0.000 claims description 5
- 238000011156 evaluation Methods 0.000 claims description 4
- 239000002699 waste material Substances 0.000 abstract description 5
- 238000010586 diagram Methods 0.000 description 8
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 238000009826 distribution Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000004064 recycling Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0896—Bandwidth or capacity management, i.e. automatically increasing or decreasing capacities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/5041—Network service management, e.g. ensuring proper service fulfilment according to agreements characterised by the time relationship between creation and deployment of a service
- H04L41/5051—Service on demand, e.g. definition and deployment of services in real time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
本申请提供了一种网络安全策略管理方法、装置及设备,属于网络安全技术领域,在目标局域网内中不同终端与局域网服务器传输文件过程中进行解析,确定不同终端对应的映射网络需求的第一指标数据及映射终端网络安全等级的第二指标数据;对获取到的终端的第一指标数据进行评估,根据第一指标数据与满足网络需求的基准指标数据的差值,确定不能满足网络需求时,增加为所述终端分配的带宽;对获取到的终端的第二指标数据进行评估,确定所述终端的网络安全等级,并对所述终端进行相应策略的网络安全保护,为各终端使用网络过程提供了全面的服务,并减少宽带资源的浪费。
Description
技术领域
本申请涉及网络安全技术领域,具体涉及一种网络安全策略管理方法、装置及设备。
背景技术
网络是一组全球信息资源的总汇,网络以相互交流信息资源为目的,基于一些共同的协议,并通过许多路由器和公共互联网而成,它是一个信息资源和资源共享的集合,而随着网络的日益发展,其已经成为了目前人们生活中不可或缺的重要设备,网络关系着我们的衣食住行以及交流,而由于网络上的信息等颇为驳杂,导致某些人员借由网络进行对社会安全有影响的行为,从而使得网络安全更为重要。
网络安全包括两部分:一是网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露;二是系统连续可靠正常地运行以及网络服务不中断。在正常的网络使用中,由于各终端的网络使用情况不同,导致其对于网络的需求不同,同时由于终端接触的网络信息的不同,导致了其所需的网络安全防护的强度也并不相同,而目前采用的网络分流方法通常采用专用的硬件设备例如:2.5G分流器、10G分流器实现网络分流,并未根据单个终端的网络需求进行分流,在一定程度上造成了宽带资源的浪费;而且现有方案中仅通过其中一方面进行网络安全策略的设置,无法对各终端进行全面的安全防护。
发明内容
本申请提供了一种网络安全策略管理方法、装置及设备,用于解决目前网络安全策略单一且网络分流方法浪费宽带资源的问题。
第一方面,本申请提供了一种网络安全策略管理方法,所述方法包括:
在目标局域网内中不同终端与局域网服务器传输文件过程中进行解析,确定不同终端对应的映射网络需求的第一指标数据及映射终端网络安全等级的第二指标数据;
对获取到的终端的第一指标数据进行评估,根据第一指标数据与满足网络需求的基准指标数据的差值,确定不能满足网络需求时,增加为所述终端分配的带宽;
对获取到的终端的第二指标数据进行评估,确定所述终端的网络安全等级,并对所述终端进行相应策略的网络安全保护。
在一种可能的实施方式中,确定不同终端对应的映射网络需求的第一指标数据,包括:
根据终端与网络服务器传输的数据量及传输时间,确定所述终端对应的平均网速;
其中,所述基准指标数据包括基准网速,所述基准网速根据终端发送的传输文件请求确定。
在一种可能的实施方式中,确定不同终端对应的映射终端网络安全等级的第二指标数据,包括:
确定不同终端对应的本地存储文件的重要程度值、传输文件过程中出现异常文件频率或接入终端的异常互联网协议IP地址的频率。
在一种可能的实施方式中,根据第一指标数据与满足网络需要的基准指标数据的差值,确定不能满足网络需求,包括:
对获取到平均网速的终端,计算传输数据的平均网速与基准网速的差值;
确定所述平均网速小于所述基准网速,且所述差值大于预设数值时,确定不能满足网络需求。
在一种可能的实施方式中,对获取到的终端的第二指标数据进行评估,确定所述终端的网络安全等级,包括如下至少一个步骤:
对获取到本地存储文件的重要程度值的终端,根据预先配置的与不同网络安全等级对应的文件重要程度值范围,确定所述终端的本地存储文件的重要程度值范围对应的网络安全等级,其中数值越大的文件重要程度值范围,对应的网络安全等级越高;
对获取到出现异常文件频率的终端,根据预先配置的与不同网络安全等级对应的异常文件频率范围,确定所述终端的异常文件频率范围对应的网络安全等级,其中,数值越大的异常文件频率范围,对应的网络安全等级越高;
对获取到异常IP地址的频率的终端,根据预先配置的与不同网络安全等级对应的异常IP地址频率范围,确定所述终端的异常IP地址频率范围对应的网络安全等级,其中,数值越大的异常文件频率范围,对应的网络安全等级越高。
在一种可能的实施方式中,增加为所述终端分配的带宽,包括:
确定目标局域网中剩余宽带不小于所述差值时,将目标局域网中的与差值相同的剩余宽带分配给所述终端;
确定目标局域网中剩余带宽小于所述差值,确定第一指标数据大于基准指标数据的终端为回收终端,从所述回收终端中回收多余带宽,将剩余带宽和回收带宽分配给不能满足网络需求的终端。
在一种可能的实施方式中,所述方法还包括:
接收新增终端发送的分配宽带请求信息,根据所述请求信息确定所述新增终端所需的宽带;
确定目标局域网中剩余带宽不小于所述新增终端所需的宽带,将目标局域网中的与所述新增终端所需的宽带相同的宽带分配给所述新增终端;
确定目标局域网中剩余带宽小于所述新增终端所需的宽带,确定第一指标数据大于基准指标数据的终端为回收终端,从所述回收终端中回收多余带宽,将剩余带宽和回收带宽分配给所述新增终端。
第二方面,本申请提供了一种网络安全策略管理装置,所述装置包括:
确定指标数据模块,用于在目标局域网内中不同终端与局域网服务器传输文件过程中进行解析,确定不同终端对应的映射网络需求的第一指标数据及映射终端网络安全等级的第二指标数据;
确定网络需求模块,用于对获取到的终端的第一指标数据进行评估,根据第一指标数据与满足网络需求的基准指标数据的差值,确定不能满足网络需求时,增加为所述终端分配的带宽;
确定网络安全保护策略模块,用于对获取到的终端的第二指标数据进行评估,确定所述终端的网络安全等级,并对所述终端进行相应策略的网络安全保护。
第三方面,本申请提供了一种网络安全策略管理设备,所述设备包括:
至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如网络安全策略管理方法中的任何一项方法。
第四方面,本申请提供了一种计算机存储介质,所述计算机存储介质存储有计算机程序,所述计算机程序用于使计算机执行网络安全策略管理方法中的任何一项方法。
本申请提供了一种网络安全策略管理方法、装置及设备,根据不同终端的网络使用情况不同,为不同终端设置对应的网络需求,减少了宽带资源浪费的情况;根据不同终端接触的网络信息,为不同终端设置对应的网络安全防护的强度,实现了多方面的网路安全策略设置。
附图说明
图1为根据本发明示例性实施例示例的一种网络安全策略管理方法场景示意图;
图2为根据本发明示例性实施例示例的一种网络安全策略管理方法流程示意图;
图3为根据本发明示例性实施例示例的网络传输数据监测示意图;
图4为根据本发明示例性实施例示例的网络安全保护模块示意图;
图5为根据本发明示例性实施例示例的网络分流模块示意图;
图6为根据本发明示例性实施例示例的一种网络安全策略管理方法具体流程示意图;
图7为根据本发明示例性实施例示例的一种网络安全策略管理装置示意图;
图8为根据本发明示例性实施例示例的一种网络安全策略管理设备示意图。
具体实施方式
下面将结合附图对本申请实施例中的技术方案进行清楚、详尽地描述。显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图1为本申请实施例提供的一种应用场景示意图,该应用场景包括服务器101、数据库102、终端设备(图中示例的终端设备103_1、终端设备103_1、终端设备103_N)。该应用场景可以为目标局域网,在所述目标局域网中服务器为至少一个终端设备提供网络服务,服务器101用于利用本申请提供的网络安全策略管理方法为不同终端设置对应的网络安全策略,数据库102中存储服务器101执行网络安全策略管理方法的数据以及程序。
图2为本申请实施例提供的一种网络安全策略管理方法流程示意图,包括:
S201:在目标局域网内中不同终端与局域网服务器传输文件过程中进行解析,确定不同终端对应的映射网络需求的第一指标数据及映射终端网络安全等级的第二指标数据;
目标局域网往中包括服务器和至少一个终端设备,所述服务器为目标局域网中的不同终端提供网络服务的同时,也与各个终端之间存在数据的交互过程,所述终端设备包括但不局限于固定端:电脑PC端;移动端:手机、笔记本电脑。
通过本申请提供的网络安全策略管理可以实现网络需求策略和网络安全等级策略的同时管理,为各终端提供了更全面的安全防护,其中获取的第一指标数据包括终端对应的平均网速,通过解析该指标值能够确定各指标对应映射的网络需求;获取的第二指标数据包括:本地存储文件的重要程度值、传输文件过程中出现异常文件频率或接入终端的异常互联网协议(IP)地址的频率,通过解析上述指标可以确定各终端对应映射的网络安全等级。在获取指标的过程中,存在仅获取到其中一种指标或两种指标都获取到的情况,即某一终端可能仅获取到第一指标数据或仅获取到第二指标数据或获取到第一指标数据和第二指标数据。
S202:对获取到的终端的第一指标数据进行评估,根据第一指标数据与满足网络需求的基准指标数据的差值,确定不能满足网络需求时,增加为所述终端分配的带宽。
若某一接入目标局域网的终端没有进行工作,即处于休眠状态,此时的终端没有网络需求或者网络需求较低,则不为所述终端进行带宽的分配。在终端运行的过程中,服务器会对第一指标数据进行监测,这是一个实时的过程,进而为不同终端设置对应网络需求的过程也是一个实时的过程,服务器通过本申请提供的方法判断终端网络需求的方法能够确定需要增加带宽的终端,而且当终端确定不满足该终端自身预设的网络需求时,才进行增加带宽的操作,对于满足网络需求的终端,则不直接对其进行带宽分配的操作,但是存在服务器回收其它终端的带宽分配给该终端的情况。
S203:对获取到的终端的第二指标数据进行评估,确定所述终端的网络安全等级,并对所述终端进行相应策略的网络安全保护。
与S202不同的是若某一接入目标局域网的终端没有进行工作,也会对该终端进行网络安全等级的划分,因为会存在外来的恶意文件主动入侵该终端的情况。第二指标数据包括多种,根据其中一种则可以确定终端对应映射的网络安全等级,不需要将其中任多种指标结合对网络安全等级进行判断。
对不同终端进行不同的网络安全等级,是一个相对实时的过程,第二指标数据值的范围、网络安全等级与相应策略的网络安全保护之间的映射关系为提前配置好的。
通过本申请提供的网络安全策略管理方法,可以同时对网络进行不同网络需求的提供以及不同等级网络安全的防护,可以对各终端进行全方面的保护,能够为终端提供更优质的服务,而且其提供网络需求的方法能够减少网络宽带资源浪费的情况。
上述S201中第一指标数据的确定可以通过如下实施方式:
在一种可能的实施方式中,确定不同终端对应的映射网络需求的第一指标数据,包括:
根据终端与网络服务器传输的数据量及传输时间,确定所述终端对应的平均网速;
其中,所述基准指标数据包括基准网速,所述基准网速根据终端发送的传输文件请求确定。
如图3所示,网络传输数据监测包括上传数据量及上传时间的检测以及下载数据量及下载时间的监测。
例如终端与网络服务器传输的数据量为100M,传输时间为10s,则所述终端对应的平均网速为100/10=10M/s。
上述S201中第二指标数据的确定可以通过如下实施方式:
在一种可能的实施方式中,确定不同终端对应的映射终端网络安全等级的第二指标数据,包括:
确定不同终端对应的本地存储文件的重要程度值、传输文件过程中出现异常文件频率或接入终端的异常互联网协议IP地址的频率。
其中,所述传输文件过程中出现异常文件频率是通过异常文件识别模块进行识别的,所述接入终端的异常互联网协IP地址的频率是通过异常IP识别模块进行识别的,如图4所示。其中频率的监测是通过预设一个时段,例如在2分钟内判断终端是否接触过异常文件或者是否访问过异常IP。
本地存储文件可以通过多种方式存储到本地,包括但不限于从目标局域网中的服务器下载文件、从其它网络的服务器下载的文件或从U盘中拷贝到本地。
上述S202中对获取到的终端的第一指标数据进行评估可以通过如下实施方式:
在一种可能的实施方式中,根据第一指标数据与满足网络需要的基准指标数据的差值,确定不能满足网络需求,包括:
对获取到平均网速的终端,计算传输数据的平均网速与基准网速的差值;
确定所述平均网速小于所述基准网速,且所述差值大于预设数值时,确定不能满足网络需求。
通过执行上述S202中的方法可以实现网络分流,在软件实现时具体可以通过网络分流模块实现。如图5所示为网络分流模块示意图,包括指标数据获取模块、宽带计算模块和宽带分配模块。其中指标数据获取模块用于获取不同终端对应的映射网络需求的第一指标数据;宽带计算模块用于确定不满足网络需求的终端需要的宽带;宽带分配模块用于增加为所述终端分配的带宽。
以预设差值为5M/s,所述基准网速为终端向服务器申请的,例如向服务器申请的基准网速为10M/s,若通过指标数据获取模块监测到的平均网速为2M/s,则其差值为10-2=8>5,此时确定该终端不能满足网络需求,需要为该终端分配8M的宽带。
在一种可能的实施方式中,增加为所述终端分配的带宽,包括如下两种情况:
1)确定目标局域网中剩余宽带不小于所述差值时,将目标局域网中的与差值相同的剩余宽带分配给所述终端。
2)确定目标局域网中剩余带宽小于所述差值,确定第一指标数据大于基准指标数据的终端为回收终端,从所述回收终端中回收多余带宽,将剩余带宽和回收带宽分配给不能满足网络需求的终端。
确定目标局域网中剩余带宽小于所述差值,且目标局域网中剩余带宽为0时,则需要直接回收其它终端中多于的宽带再进行分配;若目标局域网中剩余带宽不为0,则可以先将剩余宽带进行分配,再对其它终端中多于的宽带进行回收。
在一个目标局域网中,用户可能会根据工作的需求向网络中增加或回收终端,在一种可能的实施方式中,接收新增终端发送的分配宽带请求信息,根据所述请求信息确定所述新增终端所需的宽带;
确定目标局域网中剩余带宽不小于所述新增终端所需的宽带,将目标局域网中的与所述新增终端所需的宽带相同的宽带分配给所述新增终端;
确定目标局域网中剩余带宽小于所述新增终端所需的宽带,确定第一指标数据大于基准指标数据的终端为回收终端,从所述回收终端中回收多余带宽,将剩余带宽和回收带宽分配给所述新增终端。
上述S203中对获取到的终端的第二指标数据进行评估可以通过如下实施方式:
在一种可能的实施方式中,对获取到的终端的第二指标数据进行评估,确定所述终端的网络安全等级,包括如下至少一个步骤:
对获取到本地存储文件的重要程度值的终端,根据预先配置的与不同网络安全等级对应的文件重要程度值范围,确定所述终端的本地存储文件的重要程度值范围对应的网络安全等级,其中数值越大的文件重要程度值范围,对应的网络安全等级越高;
对获取到出现异常文件频率的终端,根据预先配置的与不同网络安全等级对应的异常文件频率范围,确定所述终端的异常文件频率范围对应的网络安全等级,其中,数值越大的异常文件频率范围,对应的网络安全等级越高;
对获取到异常IP地址的频率的终端,根据预先配置的与不同网络安全等级对应的异常IP地址频率范围,确定所述终端的异常IP地址频率范围对应的网络安全等级,其中,数值越大的异常文件频率范围,对应的网络安全等级越高。
通过执行上述S203中的方法可以实现网络安全保护,在软件实现时具体可以通过网络安全保护模块实现。如图4所示为网络安全保护模块,其中,等级模块,用于对获取到的终端的第二指标数据进行评估,确定所述终端的网络安全等级;异常文件识别模块用于识别异常文件;异常IP识别模块用于识别异常IP地址;终端防护模块用于对所述终端进行相应策略的网络安全保护。根据异常文件识别模块、异常IP识别模块将监测到的数据发送至等级确定模块,以确定该终端的网络安全等级,利用终端防护模块对终端提供对应策略的防护。
文件重要程度值范围、出现异常文件频率范围、获取到异常IP地址频率范围分别与网络安全等级及对应策略网络保护需要提前配置。
文件重要程度值范围、网络安全等级及对应策略网络保护的配置如表1所示:
表1
| 文件重要程度值范围 | 网络安全等级 | 对应策略网络保护 |
| [0,2] | 1 | 策略A |
| (2,4] | 2 | 策略B |
| (4,5] | 3 | 策略C |
其中,文件重要程度值可以按照文件的类型进行设置,例如办公类文件的重要程度大于娱乐类文件的重要程度;文档类的文件重要程度大于视频类文件的重要程度;或者根据用户需求,将某一个文件设置为最重要的文件。
出现异常文件频率范围、网络安全等级及对应策略网络保护的配置如表2所示:
表2
| 出现异常文件频率范围 | 网络安全等级 | 对应策略网络保护 |
| [0,3] | 1 | 策略A |
| (3,7] | 2 | 策略B |
| (7,10] | 3 | 策略C |
获取到异常IP地址频率、网络安全等级及对应策略网络保护的配置如表2所示:
表3
| 出现异常文件频率范围 | 网络安全等级 | 对应策略网络保护 |
| [0,3] | 1 | 策略A |
| (3,7] | 2 | 策略B |
| (7,10] | 3 | 策略C |
确定获取到第二指标数据包括文件重要程度值、出现异常文件频率、获取到异常IP地址频率中的任意一种,即可进行网络安全等级的判断,若获取到上述第二指标数据中的任多种,则得到多个网络安全等级,取较高的等级为该终端进行设置;或者当其中一种指标数值低于某一预设值的范围,则可以将等级设置为低等级的;用户也可以根据其评估结果进行自主选择。
如图6所示为本申请实施例提供的一种网络安全策略管理方法的具体流程图:
1)获取第一指标数据和第二指标数据;
2)确定获取到第一指标数据后,对所述第一指标数据进行评估,确定终端对应的网络需求策略;
3)确定获取到第二指标数据后,对所述第二指标数据进行评估,确定终端对应网络安全等级和对应策略的网络安全保护。
基于相同的构思,本申请实施例提供了一种网络安全策略管理装置700,如图7所示,所述装置包括:
确定指标数据模块701,用于在目标局域网内中不同终端与局域网服务器传输文件过程中进行解析,确定不同终端对应的映射网络需求的第一指标数据及映射终端网络安全等级的第二指标数据;
确定网络需求模块702,用于对获取到的终端的第一指标数据进行评估,根据第一指标数据与满足网络需求的基准指标数据的差值,确定不能满足网络需求时,增加为所述终端分配的带宽;
确定网络安全保护策略模块703,用于对获取到的终端的第二指标数据进行评估,确定所述终端的网络安全等级,并对所述终端进行相应策略的网络安全保护。
在一种可能的实施方式中,确定指标数据模块用于确定不同终端对应的映射网络需求的第一指标数据,包括:
根据终端与网络服务器传输的数据量及传输时间,确定所述终端对应的平均网速;
其中,所述基准指标数据包括基准网速,所述基准网速根据终端发送的传输文件请求确定。
在一种可能的实施方式中,确定指标数据模块用于确定不同终端对应的映射终端网络安全等级的第二指标数据,包括:
确定不同终端对应的本地存储文件的重要程度值、传输文件过程中出现异常文件频率或接入终端的异常互联网协议IP地址的频率。
在一种可能的实施方式中,确定网络需求模块根据第一指标数据与满足网络需要的基准指标数据的差值,确定不能满足网络需求,包括:
对获取到平均网速的终端,计算传输数据的平均网速与基准网速的差值;
确定所述平均网速小于所述基准网速,且所述差值大于预设数值时,确定不能满足网络需求。
在一种可能的实施方式中,确定网络安全保护策略模块对获取到的终端的第二指标数据进行评估,确定所述终端的网络安全等级,包括如下至少一个步骤:
对获取到本地存储文件的重要程度值的终端,根据预先配置的与不同网络安全等级对应的文件重要程度值范围,确定所述终端的本地存储文件的重要程度值范围对应的网络安全等级,其中数值越大的文件重要程度值范围,对应的网络安全等级越高;
对获取到出现异常文件频率的终端,根据预先配置的与不同网络安全等级对应的异常文件频率范围,确定所述终端的异常文件频率范围对应的网络安全等级,其中,数值越大的异常文件频率范围,对应的网络安全等级越高;
对获取到异常IP地址的频率的终端,根据预先配置的与不同网络安全等级对应的异常IP地址频率范围,确定所述终端的异常IP地址频率范围对应的网络安全等级,其中,数值越大的异常文件频率范围,对应的网络安全等级越高。
在一种可能的实施方式中,确定网络需求模块确定增加为所述终端分配的带宽,包括:
确定目标局域网中剩余宽带不小于所述差值时,将目标局域网中的与差值相同的剩余宽带分配给所述终端;
确定目标局域网中剩余带宽小于所述差值,确定第一指标数据大于基准指标数据的终端为回收终端,从所述回收终端中回收多余带宽,将剩余带宽和回收带宽分配给不能满足网络需求的终端。
在一种可能的实施方式中,增加/回收模块接收新增终端发送的分配宽带请求信息,根据所述请求信息确定所述新增终端所需的宽带;
确定目标局域网中剩余带宽不小于所述新增终端所需的宽带,将目标局域网中的与所述新增终端所需的宽带相同的宽带分配给所述新增终端;
确定目标局域网中剩余带宽小于所述新增终端所需的宽带,确定第一指标数据大于基准指标数据的终端为回收终端,从所述回收终端中回收多余带宽,将剩余带宽和回收带宽分配给所述新增终端。
基于相同的发明构思,本申请提供了一种网络安全策略管理设备,包括至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行上述实施例中的任一网络安全策略管理方法。
下面参照图8来描述根据本申请的这种实施方式的电子设备130。图8显示的电子设备130仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图8所示,电子设备130以通用电子设备的形式表现。电子设备130的组件可以包括但不限于:上述至少一个处理器131、上述至少一个存储器132、连接不同系统组件(包括存储器132和处理器131)的总线133。
所述处理器131用于执行一种网络安全策略管理方法,应用于局域网服务器,所述方法包括:
在目标局域网内中不同终端与局域网服务器传输文件过程中进行解析,确定不同终端对应的映射网络需求的第一指标数据及映射终端网络安全等级的第二指标数据;
对获取到的终端的第一指标数据进行评估,根据第一指标数据与满足网络需求的基准指标数据的差值,确定不能满足网络需求时,增加为所述终端分配的带宽;
对获取到的终端的第二指标数据进行评估,确定所述终端的网络安全等级,并对所述终端进行相应策略的网络安全保护。
在一种可能的实施方式中,处理器确定不同终端对应的映射网络需求的第一指标数据,包括:
根据终端与网络服务器传输的数据量及传输时间,确定所述终端对应的平均网速;
其中,所述基准指标数据包括基准网速,所述基准网速根据终端发送的传输文件请求确定。
在一种可能的实施方式中,处理器确定不同终端对应的映射终端网络安全等级的第二指标数据,包括:
确定不同终端对应的本地存储文件的重要程度值、传输文件过程中出现异常文件频率或接入终端的异常互联网协议IP地址的频率。
在一种可能的实施方式中,处理器根据第一指标数据与满足网络需要的基准指标数据的差值,确定不能满足网络需求,包括:
对获取到平均网速的终端,计算传输数据的平均网速与基准网速的差值;
确定所述平均网速小于所述基准网速,且所述差值大于预设数值时,确定不能满足网络需求。
在一种可能的实施方式中,处理器对获取到的终端的第二指标数据进行评估,确定所述终端的网络安全等级,包括如下至少一个步骤:
对获取到本地存储文件的重要程度值的终端,根据预先配置的与不同网络安全等级对应的文件重要程度值范围,确定所述终端的本地存储文件的重要程度值范围对应的网络安全等级,其中数值越大的文件重要程度值范围,对应的网络安全等级越高;
对获取到出现异常文件频率的终端,根据预先配置的与不同网络安全等级对应的异常文件频率范围,确定所述终端的异常文件频率范围对应的网络安全等级,其中,数值越大的异常文件频率范围,对应的网络安全等级越高;
对获取到异常IP地址的频率的终端,根据预先配置的与不同网络安全等级对应的异常IP地址频率范围,确定所述终端的异常IP地址频率范围对应的网络安全等级,其中,数值越大的异常文件频率范围,对应的网络安全等级越高。
在一种可能的实施方式中,处理器增加为所述终端分配的带宽,包括:
确定目标局域网中剩余宽带不小于所述差值时,将目标局域网中的与差值相同的宽带分配给所述终端;
确定目标局域网中剩余带宽小于所述差值,从其它满足网络需求的终端中确定第一指标数据大于满足网络需求的基准指标数据的终端,回收其它终端多于的宽带,并将所述多于的宽带分配给所述终端。
在一种可能的实施方式中,处理器接收新增终端发送的分配宽带请求信息,根据所述请求信息确定所述新增终端所需的宽带,确定目标局域网中剩余带宽不小于所述新增终端所需的宽带,将目标局域网中的与所述新增终端所需的宽带相同的宽带分配给所述终端,确定目标局域网中剩余带宽小于所述新增终端所需的宽带,从其它满足网络需求的终端中确定第一指标数据大于满足网络需求的基准指标数据的终端,回收其它终端多于的宽带,并将所述多于的宽带分配给所述终端;
确定满足带宽回收的回收终端,回收为所述回收终端分配的宽带作为剩余带宽。
总线133表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器、外围总线、处理器或者使用多种总线结构中的任意总线结构的局域总线。
存储器132可以包括易失性存储器形式的可读介质,例如随机存取存储器(RAM)1321和/或高速缓存存储器1322,还可以进一步包括只读存储器(ROM)1323。
存储器132还可以包括具有一组(至少一个)程序模块1324的程序/实用工具1325,这样的程序模块1324包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
电子设备130也可以与一个或多个外部设备134(例如键盘、指向设备等)通信,还可与一个或者多个使得用户能与电子设备130交互的设备通信,和/或与使得该电子设备130能与一个或多个其它电子设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口135进行。并且,电子设备130还可以通过网络适配器136与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器136通过总线133与用于电子设备130的其它模块通信。应当理解,尽管图中未示出,可以结合电子设备130使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
在一些可能的实施方式中,本申请提供的一种网络安全策略管理方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在计算机设备上运行时,程序代码用于使计算机设备执行本说明书上述描述的根据本申请各种示例性实施方式的一种视频过车设备性能的评价的步骤。
另外,本申请还提供一种计算机可读存储介质,所述计算机存储介质存储有计算机程序所述计算机程序用于使计算机执行上述实施例中任何一项所述的方法。
这些计算机程序指令也可存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (9)
1.一种网络安全策略管理方法,应用于局域网服务器,其特征在于,所述方法包括:
在目标局域网内中不同终端与局域网服务器传输文件过程中进行解析,确定不同终端对应的映射网络需求的第一指标数据及映射终端网络安全等级的第二指标数据;
对获取到的终端的第一指标数据进行评估,根据第一指标数据与满足网络需求的基准指标数据的差值,确定不能满足网络需求时,增加为所述终端分配的带宽;
对获取到的终端的第二指标数据进行评估,确定所述终端的网络安全等级,并对所述终端进行相应策略的网络安全保护,所述第二指标数据包括不同终端对应的本地存储文件的重要程度值、传输文件过程中出现异常文件频率和接入终端的异常互联网协议IP地址的频率的任多种,不同种类的第二指标数据对应的网络安全等级和相应策略不同;
其中,若接入所述目标局域网的终端没有进行工作,则不对所述终端进行带宽分配,为所述终端确定网络安全等级,若基于多种第二指标数据得到多个网络安全等级,则从多个网络安全等级中选择最高的网络安全等级。
2.根据权利要求1所述的方法,其特征在于,确定不同终端对应的映射网络需求的第一指标数据,包括:
根据终端与网络服务器传输的数据量及传输时间,确定所述终端对应的平均网速;
其中,所述基准指标数据包括基准网速,所述基准网速根据终端发送的传输文件请求确定。
3.根据权利要求2所述的方法,其特征在于,根据第一指标数据与满足网络需要的基准指标数据的差值,确定不能满足网络需求,包括:
对获取到平均网速的终端,计算传输数据的平均网速与基准网速的差值;
确定所述平均网速小于所述基准网速,且所述差值大于预设数值时,确定不能满足网络需求。
4.根据权利要求1所述的方法,其特征在于,对获取到的终端的第二指标数据进行评估,确定所述终端的网络安全等级,包括如下至少一个步骤:
对获取到本地存储文件的重要程度值的终端,根据预先配置的与不同网络安全等级对应的文件重要程度值范围,确定所述终端的本地存储文件的重要程度值对应的网络安全等级,其中数值越大的文件重要程度值范围,对应的网络安全等级越高;
对获取到出现异常文件频率的终端,根据预先配置的与不同网络安全等级对应的异常文件频率范围,确定所述终端的异常文件频率对应的网络安全等级,其中,数值越大的异常文件频率范围,对应的网络安全等级越高;
对获取到异常IP地址的频率的终端,根据预先配置的与不同网络安全等级对应的异常IP地址频率范围,确定所述终端的异常IP地址频率对应的网络安全等级,其中,数值越大的异常文件频率范围,对应的网络安全等级越高。
5.根据权利要求1所述的方法,其特征在于,增加为所述终端分配的带宽,包括:
确定目标局域网中剩余宽带不小于所述差值时,将目标局域网中的与差值相同的剩余宽带分配给所述终端;
确定目标局域网中剩余带宽小于所述差值,确定第一指标数据大于基准指标数据的终端为回收终端,从所述回收终端中回收多余带宽,将剩余带宽和回收带宽分配给不能满足网络需求的终端。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收新增终端发送的分配宽带请求信息,根据所述请求信息确定所述新增终端所需的宽带;
确定目标局域网中剩余带宽不小于所述新增终端所需的宽带,将目标局域网中的与所述新增终端所需的宽带相同的宽带分配给所述新增终端;
确定目标局域网中剩余带宽小于所述新增终端所需的宽带,确定第一指标数据大于基准指标数据的终端为回收终端,从所述回收终端中回收多余带宽,将剩余带宽和回收带宽分配给所述新增终端。
7.一种网络安全策略管理装置,其特征在于,所述装置包括:
确定指标数据模块,用于在目标局域网内中不同终端与局域网服务器传输文件过程中进行解析,确定不同终端对应的映射网络需求的第一指标数据及映射终端网络安全等级的第二指标数据;
确定网络需求模块,用于对获取到的终端的第一指标数据进行评估,根据第一指标数据与满足网络需求的基准指标数据的差值,确定不能满足网络需求时,增加为所述终端分配的带宽;
确定网络安全保护策略模块,用于对获取到的终端的第二指标数据进行评估,确定所述终端的网络安全等级,并对所述终端进行相应策略的网络安全保护,所述第二指标数据包括不同终端对应的本地存储文件的重要程度值、传输文件过程中出现异常文件频率和接入终端的异常互联网协议IP地址的频率的任多种,不同种类的第二指标数据对应的网络安全等级和相应策略不同;
其中,若接入所述目标局域网的终端没有进行工作,则不对所述终端进行带宽分配,为所述终端确定网络安全等级,若基于多种第二指标数据得到多个网络安全等级,则从多个网络安全等级中选择最高的网络安全等级。
8.一种网络安全策略管理设备,其特征在于,所述设备包括:
至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1-6中任何一项所述的方法。
9.一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机程序,所述计算机程序用于使计算机执行如权利要求1-6任何一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210192190.6A CN114844662B (zh) | 2022-03-01 | 2022-03-01 | 一种网络安全策略管理方法、装置及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210192190.6A CN114844662B (zh) | 2022-03-01 | 2022-03-01 | 一种网络安全策略管理方法、装置及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114844662A CN114844662A (zh) | 2022-08-02 |
| CN114844662B true CN114844662B (zh) | 2024-03-12 |
Family
ID=82562176
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210192190.6A Active CN114844662B (zh) | 2022-03-01 | 2022-03-01 | 一种网络安全策略管理方法、装置及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114844662B (zh) |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007045150A1 (fr) * | 2005-10-15 | 2007-04-26 | Huawei Technologies Co., Ltd. | Procede et systeme de controle de la securite d'un reseau |
| CN101127633A (zh) * | 2006-08-15 | 2008-02-20 | 华为技术有限公司 | 一种实现移动台安全控制的方法及其系统 |
| CN101160876A (zh) * | 2005-10-15 | 2008-04-09 | 华为技术有限公司 | 一种网络安全控制方法及系统 |
| CN101505302A (zh) * | 2009-02-26 | 2009-08-12 | 中国联合网络通信集团有限公司 | 安全策略的动态调整方法和系统 |
| WO2015120756A1 (zh) * | 2014-02-14 | 2015-08-20 | 北京奇虎科技有限公司 | 一种应用程序安全性的鉴定方法和装置 |
| US9654503B1 (en) * | 2015-03-11 | 2017-05-16 | Symantec Corporation | Systems and methods for evaluating networks |
| WO2017134449A1 (en) * | 2016-02-05 | 2017-08-10 | Vodafone Ip Licensing Limited | Controlling bearer security in a telecommunications connection |
| CN108429624A (zh) * | 2016-12-21 | 2018-08-21 | 迈普通信技术股份有限公司 | 一种qos动态调整方法、设备及系统 |
| CN109639831A (zh) * | 2019-01-21 | 2019-04-16 | 北京邮电大学 | 与网络服务匹配的传输资源的分配方法及装置 |
| CN109729526A (zh) * | 2019-03-05 | 2019-05-07 | 华北电力大学 | 一种异构网络中基于匹配理论的动态频谱分配方案 |
| WO2020052416A1 (zh) * | 2018-09-15 | 2020-03-19 | 华为技术有限公司 | 一种安全保护方法、设备及系统 |
| CN113163277A (zh) * | 2021-06-23 | 2021-07-23 | 武汉长光科技有限公司 | 光网络单元带宽管理方法、装置、电子设备及存储介质 |
| CN113542199A (zh) * | 2020-04-17 | 2021-10-22 | 海信集团有限公司 | 一种网络安全状态的评估方法及服务器 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9288231B2 (en) * | 2013-07-22 | 2016-03-15 | Cisco Technology, Inc. | Web caching with security as a service |
| CN110611723B (zh) * | 2018-06-15 | 2021-05-11 | 华为技术有限公司 | 一种服务资源的调度方法及装置 |
-
2022
- 2022-03-01 CN CN202210192190.6A patent/CN114844662B/zh active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007045150A1 (fr) * | 2005-10-15 | 2007-04-26 | Huawei Technologies Co., Ltd. | Procede et systeme de controle de la securite d'un reseau |
| CN101160876A (zh) * | 2005-10-15 | 2008-04-09 | 华为技术有限公司 | 一种网络安全控制方法及系统 |
| CN101127633A (zh) * | 2006-08-15 | 2008-02-20 | 华为技术有限公司 | 一种实现移动台安全控制的方法及其系统 |
| CN101505302A (zh) * | 2009-02-26 | 2009-08-12 | 中国联合网络通信集团有限公司 | 安全策略的动态调整方法和系统 |
| WO2015120756A1 (zh) * | 2014-02-14 | 2015-08-20 | 北京奇虎科技有限公司 | 一种应用程序安全性的鉴定方法和装置 |
| US9654503B1 (en) * | 2015-03-11 | 2017-05-16 | Symantec Corporation | Systems and methods for evaluating networks |
| WO2017134449A1 (en) * | 2016-02-05 | 2017-08-10 | Vodafone Ip Licensing Limited | Controlling bearer security in a telecommunications connection |
| CN108429624A (zh) * | 2016-12-21 | 2018-08-21 | 迈普通信技术股份有限公司 | 一种qos动态调整方法、设备及系统 |
| WO2020052416A1 (zh) * | 2018-09-15 | 2020-03-19 | 华为技术有限公司 | 一种安全保护方法、设备及系统 |
| CN109639831A (zh) * | 2019-01-21 | 2019-04-16 | 北京邮电大学 | 与网络服务匹配的传输资源的分配方法及装置 |
| CN109729526A (zh) * | 2019-03-05 | 2019-05-07 | 华北电力大学 | 一种异构网络中基于匹配理论的动态频谱分配方案 |
| CN113542199A (zh) * | 2020-04-17 | 2021-10-22 | 海信集团有限公司 | 一种网络安全状态的评估方法及服务器 |
| CN113163277A (zh) * | 2021-06-23 | 2021-07-23 | 武汉长光科技有限公司 | 光网络单元带宽管理方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114844662A (zh) | 2022-08-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102982141B (zh) | 一种实现分布式数据库代理的方法及装置 | |
| CN104662517A (zh) | 安全漏洞检测技术 | |
| CN111934920B (zh) | 监控告警方法、装置、设备和存储介质 | |
| CN115277566B (zh) | 数据访问的负载均衡方法、装置、计算机设备及介质 | |
| CN111143163A (zh) | 数据监控方法、装置、计算机设备和存储介质 | |
| CN111131841A (zh) | 直播间接入方法、装置、电子设备及存储介质 | |
| CN105471626A (zh) | 一种分配内存存储数据的方法和系统 | |
| CN113905091B (zh) | 用于对访问请求进行处理的方法及装置 | |
| CN114844662B (zh) | 一种网络安全策略管理方法、装置及设备 | |
| CN115712646A (zh) | 一种告警策略生成方法、装置和存储介质 | |
| CN114070755B (zh) | 虚拟机网络流量确定方法、装置、电子设备和存储介质 | |
| CN113626882A (zh) | 一种生成设备标识符的方法、装置、介质 | |
| CN111885184A (zh) | 高并发场景下热点访问关键字处理方法和装置 | |
| CN110336813B (zh) | 一种访问控制方法、装置、设备及存储介质 | |
| CN110134578B (zh) | 一种数据处理方法及装置 | |
| CN107835104B (zh) | 网络切片间nf用户许可共享方法、系统、设备及存储介质 | |
| CN114143263B (zh) | 一种对用户请求进行限流的方法、设备及介质 | |
| CN112994934B (zh) | 数据交互方法、装置及系统 | |
| CN114221807A (zh) | 访问请求处理方法、装置、监控设备及存储介质 | |
| CN114978856A (zh) | 一种多云计算管理平台及方法 | |
| CN109194700B (zh) | 一种流量管控方法及相关装置 | |
| CN110650135B (zh) | 一种节点处理方法、相关设备及计算机可读存储介质 | |
| CN114610567A (zh) | 容器监控方法、网络设备及存储介质 | |
| CN113190347A (zh) | 一种边缘云系统及任务管理方法 | |
| CN103095786A (zh) | 在线业务请求识别方法、系统、服务器及在线服务器集群 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |